網路時代的個人信息安全

互聯網路高速發展的時代，個人信息與數據的交換日益頻繁，網路資源共享與個人信息保護成為了矛盾的統一體。

據統計，現在大約有40億人通過互聯網進行快捷而又成本低廉的信息交換。也許某天，你打開網頁搜索自己的名字會驚奇地發現，上面可以找到自己的電話、職位等等信息。而這些信息你從未自己在網上公布過。

「信息安全是指由於各種原因引起的信息泄露、信息丟失、信息篡改、信息虛假、信息滯後、信息不完善等，以及由此帶來的風險。具體的表現有：竊取商業機密；泄漏商業機密；篡改交易信息，破壞信息的真實性和完整性；接收或發送虛假信息，破壞交易、盜取交易成果；偽造交易信息；非法刪除交易信息；交易信息丟失；病毒破壞；黑客入侵等。」

在這其中，一個突出問題是網路上個人信息的丟失和被非法竊取。2009年3月15日，央視315晚會曝光了海量信息科技網盜竊個人信息的實錄，給國人極大震驚。「海量信息科技網，國各地的車主信息，各大銀行用戶數據，甚至股民信息等等，這個網站一應俱全，而且價格也極其低廉。我們僅僅花了100元就買到了1000條各種各樣的信息，上面詳細記錄了姓名、手機號碼、身份證號碼等等，應有盡有。如果說上面這些信息你覺得還不夠全面，接下來的這個木馬程序一定會讓你心驚肉跳，種了這種木馬後，電腦會在你毫不知情的情況下在網上隨意任人擺布。」這個事件典型的反映在信息化時代高速發展的今天，個人信息時刻存在著泄露的風險。

以計算機為基礎的互聯網正在迅速改變和深刻影響社會的每一個方面。以互聯網為代表的現代個人數據收集、處理、傳輸和利用，既促進了社會經濟的發展，為人們的工作和生活提供了極大的便利，同時也給個人信息和數據的安全帶來了前所未有的嚴重威脅。

一、個人信息與數據安全的重要性

所謂個人信息，是指一切可以識別本人的信息的所有數據資料，這些數據資料包括一個人的生理的、心理的，智力的、個體的、社會的、經濟的、文化的、家庭的等等方面。即指有關個人的一切數據、資料。這些信息有些是其自身產生的，如年齡、收入、愛好等：有些是非自身產生的，如他人對該人的評價等。也可以根據其公開的程度將個人信息分為兩類，一類是極其個人化、永遠不能公開的個人信息，如信用卡號、財務狀況等；另一類是在某些範圍和一定程度上可以公開的個人信息，如姓名、性別等。

與「個人信息」相關的一個概念是「個人數據」( Personal Data)。所謂個人數據，是指標識個人基本情況的一組數據資料。

從廣義上說，一切有關個人的數據都屬於個人數據的範疇。根據信息與數據兩者之間的關係，一般認為個人數據屬於個人信息的範圍，個人信息包含了個人數據；與「個人信息」相關的另一個概念是「隱私」，在《現代漢語詞典》中，隱私是指不願告人的或不願公開的個人的事。嚴格按照法律的要求解釋「隱私」，就是公民與公共利益無關的個人私生活秘密。它所包含的內容，就是私人信息、私人活動和私人空間。具體來說，諸如身高、體重、收入、生活經歷、家庭電話號碼、病患經歷等等屬於私人信息；私人活動是指個人的、與公共利益無關的活動，如日常生活、社會交往、夫妻之間的兩性生活等；私人空間也稱為私人領域，是指個人的隱秘範圍，如身體的隱秘部位、個人居所、旅客行李、學生書包、日記、通信等。

從形式邏輯出發，「個人信息」和「個人隱私」是包含關係，即個人信息包含個人隱私，個人隱私是個人信息的下位概念，是個人信息的一部分。因此當與公共利益無關的個人信息，信息主體不願公開時就成為隱私。之所以主張保護個人信息，也是因為其涉及到個人的隱私。

1967年， Alan F.westin博士在其成名作《隱私與自由》( Privacy and Freedom)中討論了隱私的複雜性。 Westin博士認為，每個社會都有四種相互制約的隱私要素：

(1)獨處( solitude)。每個人都需要成就自我的空間，並因之不感覺到為他人所關注。

(2)袒露( revelation)。每個人都願意向他人祖露自己，但祖露的內容則取決於兩者之間的關係。

(3)好奇( curiosity)，人們希望控制向他人的袒露，但同時對他人的袒露又感到好奇。

(4)維持公共秩序的政府監控( public observation to maintain public order)。人們希望控制向他人的袒露，公共秩序也要求對祖露實施某種程度的政府監控。

Westin博士認為，以上四個要素存在於每個社會，從最簡單的到最複雜的，無一例外。在這樣一個社會當中，我們每個人的個人信息必然涉及到一個安全問題。

1.1 互聯網的快速發展

互聯網的快速發展給個人數據保護帶來了棘手的難題。首先，互聯網的存在是以計算機為基礎的，個人利用計算機登陸互聯網並在互聯網上衝浪，該個人的個人信息和行為信息等將會被記錄下來。這些被記錄下來的信息如果被不正當的利用，就會成為個人數據保護的隱私，特別是在網民數量巨大的時候，這一隱患將更加突出。其次，互聯網作為一種新興的媒體，其特點是全球互聯，接入方式簡便。並且在該媒體上任何人都可以很方便的發表言論。由於全球網民數量巨大，這些言論在瞬間幾乎就會傳遍全球。所以一旦某些個人數據被公布到互聯網上，那麼該個人數據將會成為網民們輕易皆知的「秘密」了。

1.2 全球一體化的需求

在國際舞台上，個人信息保護不僅是一個基本人權問題，也極有可能成為某種新的貿易壁壘。實際上，這種趨勢已經非常明顯並且會進一步加速。在國際貿易層面上，隨著新加入歐盟的國家逐步達到歐盟指令的要求，歐盟以及其他國家完全有可能根據對第三國個人信息保護水平的判斷，對個人信息的跨國流動做出單方面的限制，進而影響到整個國際貿易的正常進行。儘管美國在個人信息保護問題上與歐盟有不同的看法，並且，美國正盡量利用其影響力在諸如經合組織、APEC等框架內推行其理念，但是，最終效果現在尚難預料。無論如何，個人信息保護法制不健全的國家肯定會在國際人權與國際貿易兩方面腹背受敵，受到其他國家或國際組織的打壓。

1.3 建設法制社會的需要

現在的銀行等金融服務部門會在服務的過程中收集用戶的姓名、性別、身份證號碼、聯繫方式等數據；電信服務部門會在服務的過程中收集用戶的姓名、住址、身份證號碼、聯繫方式等數據；醫療服務機構則會在服務的過程中收集用戶的姓名，性別、身體特徵、既往病史等個人數據。除此之外，其他的政府部門和公共服務機構如稅務部門、教育機構、保險公司等也會在行政管理和提供服務的過程中收集公民的諸如收入、教育、身體狀況等數據。如果對這些收集數據的行為與收集的數據不加以規範，一旦與互聯網傳播相結合，將會導致嚴重的侵害個人權利的行為。

改革開放30年，中國的經濟有了很大的發展，多數社會成員的物質生活條件有了較大改善，中國已從貧困型社會發展到溫飽型社會，並進一步向小康型社會邁進。建設法制社會是我們既定的目標，個人數據的法律保護是法制社會建設的重要環節。如今，人們對精神世界的關注，對人格利益的保護比以往任何時候都更為迫切。與此同時，社會經濟的發展又使得社會成員之間的交往比以往更加頻繁，大量的個人數據在這些頻繁的交往中有可能通過各種途徑被頻頻泄漏出去，於是權利受到侵害的社會成員要求保護其個人權利的呼聲也日益高漲。制定一部保護個人數據的法律，規範社會成員正確收集、利用、處理與保護個人數據就顯得尤為關鍵。

二、個人信息安全現狀

近年來，國內電信網路已由過去單一的語音交換網路，逐步演進為一個可提供語音、數據、多媒體業務的綜合性網路。IP技術已成為電信網路的核心。

目前，IP技術的應用有助於電信業務的多樣化發展，有利於降低網路建設成本、滿足用戶個性化需求。但基於IP技術的網路有其先天缺陷，開放的網路形式引入了IP技術特有的安全威脅，傳統電信網封閉性受到破壞。

另一方面，為了實現靈活的網路配置、降低成本，電信設備功能逐漸趨於軟體化，很多傳統電信設備功能被移植到計算機系統中，一些專用板卡和設備的功能被軟體系統所替代，設備軟體化引入新的安全威脅，例如，病毒、木馬、蠕蟲具備了生存環境：複雜的操作系統影響到設備的穩定性和安全性；公開的操作系統安全漏洞以及開放的遠程埠易被惡意人員利用等等。

隨著移動端手機網路的普及，移動網路也將面臨與互聯網類似的安全性問題。特別是用戶終端種類的多樣化，手機、PDA、計算機等都可直接接入4G網路，給惡意攻擊者提供了更多靈活的接入方式和強大的終端能力。另外,4G網路可提供更豐富的業務內容，用戶能夠靈活地上傳和下載各種數據、語音、多媒體業務，基於業務內容的信息安全問題也將隨之出現。

當前，電信網、互聯網等信息網路融合度越來越高，信息技術、業務形式越來越豐富，安全隱患也隨之增多，例如：電子商務、網上銀行、手機支付等業務可能造成個人賬號被竊和網上欺詐；網上社區、手機交友、虛擬世界可能引發虛擬犯罪、國家或商業機密泄露：而網路視頻、個人博客等被廣泛應用的同時，也為非法色情內容的大面積擴散提供了新的渠道。

三、技術保護措施

3.1 網路防火牆技術

防火牆主要是用來隔離內部網和外部網，對內部網的應用系統加以保護。目前的防火牆分為兩大類：一類是簡單的包過濾技術，它是在網路層對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯，檢查數據流中每個數據包後，根據數據包的源地址、目的地址所用的TCP埠和TCP鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和代伺服器，可針對特別的網路應用服務協議及數據過濾協議，並且能夠對數據包分析並形成相關的報告。

3.2 採用安全通信措施，保障個人數據的傳輸安全

為保證數據傳輸線路的安全，可將集中器和數據機放在受監視的地方，定期檢測是否搭線竊聽、外連或破壞行為。通過路由選擇控制來限制某些不安全通路。也可採用鑒別技術來鑒別通信方的實體身份和特權，常用的方法有報文鑒別，數字簽名和終端識別。此外，可以通過加密演算法來實現數據的加密，例如美國數據加密標準DES和網際網路免費提供的PG系統。

3.3 加強對用戶的管理

在用戶信息管理中，身份驗證和訪問授杈是網上管理用戶的基本措施。口令、安全帳號和密碼是最常用的驗證，我公司通過採用加長口令，使用較大字符集構造口令、限制用戶鍵入口令次數及用戶註冊時間等方法來保證用戶登錄的安全性，或通過採用訪問授權來控制或限制用戶對資源的利用。如果用戶想改密碼等信息必須提供身份證號碼才可以修改。員工在辦理業務時不能看到客戶的個人信息從而防止用戶個人信息泄露。

3.4 加強對病毒的測控

網路個人信息主要是由病毒和木馬進行竊取，病毒對計算機系統的危害最大，為防止計算機病毒和木馬的危害，公司可以通過限制軟盤的拷貝進入、採用集中式防病毒管理模式、對整個區域網中所有節點實行集中管理和控制、通過各種檢測方法(特徵碼掃描、完整性檢查、變形分析、推斷分析等)檢測病毒、自動進行特徵碼更新、實時清除病毒等方式構成一套完整嚴密的病毒測控防護網。

——END——

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！